it-swarm-eu.dev

Esiste un buon modo per archiviare le credenziali al di fuori di un gestore di password?

Molti utenti della mia azienda usano le loro agende per scrivere password e nomi utente o fogli Excel con una password protetta. Sono restio a installare software per la gestione delle password dopo aver letto i consigli/feedback su di essi. Esiste un'altra soluzione sicura e intuitiva per archiviare le password?

47
Hajar Qh

Installa un gestore di password. Un buon gestore di password è molto, molto meglio di qualsiasi cosa tu possa fare da solo.

Sono software creati da professionisti della sicurezza, seguono rigide regole di sviluppo e sono testati da molte persone e attaccati da molte persone. Hanno maggiori possibilità di proteggere le tue password rispetto a qualsiasi cosa inventata dall'utente medio, anche sopra la media.

110
ThoriumBR

Probabilmente ti riferisci ai recenti articoli sui difetti nei gestori di password.

È proprio lì nei titoli, i gestori di password hanno difetti e dovresti comunque usarne uno perché sono più sicuri di quello che fanno molte persone, come mantenere le password in Excel, inviarle via email, incollarle in chat dove verranno registrate da tutti ...

Tutto il software ha dei difetti. I gestori di password e il software di sicurezza in generale sono conformi a uno standard più elevato rispetto al software standard. I difetti di cui parlano questi articoli nei gestori di password non sono errori da principianti, ma rischi di compromessi.

1Password ha un commento sull'ultimo difetto e na discussione approfondita sui loro forum . Non è un errore in quanto è una conseguenza di un compromesso per evitare altri peggiori bug di memoria. Il punto importante è che il tuo computer deve già essere compromesso e di recente hai inserito la tua password principale. Come jpgoldberg di 1Password messo ...

... dobbiamo considerare che per abilitare un attacco l'attaccante deve farlo

  1. Essere in grado di leggere la memoria di processo 1Password quando 1Password è bloccato
  2. Non essere in grado di leggere la memoria di processo 1Password quando 1Password è sbloccato.

Il numero 1 richiede che l'attaccante abbia già compromesso seriamente il dispositivo. Numero 2 significa che l'attaccante (che ha seriamente compromesso il tuo dispositivo) ha quel controllo solo in tempi stranamente limitati.

Se il tuo computer è già così compromesso, un utente malintenzionato può leggere la memoria di processo di 1Password che non ha bisogno di questo exploit. Possono solo aspettare fino allo sblocco di 1Password.

E se il tuo computer è compromesso, conservare le tue password in un foglio di calcolo Excel non ti offre alcuna protezione.


I gestori di password possono fare altre cose da aggiungere alla tua sicurezza.

  • Condividi e gestisci le tue password tra tutti i tuoi dispositivi, inclusi i dispositivi mobili.
  • Condividi e gestisci password e credenziali con i colleghi.
  • Memorizza più delle semplici password in modo sicuro.
    • Chiavi e passphrase GPG e SSH
    • Password una tantum generatori
    • Chiavi di recupero
    • Domande di sicurezza
    • Chiavi API
    • Appunti
    • Carte di credito (probabilmente meglio che salvarle sui siti Web)
    • Conto in banca
    • Adesioni
    • Licenze software
  • Informarti di password non sicure
    • Password riutilizzate
    • Violazioni della password
  • Genera password sicure
  • Password di compilazione automatica (evita di essere spalla navigata )
  • Registra automaticamente nuovi account
  • Protezione dai ransomware (se memorizza il tuo vault altrove)

Questi evitano cattive pratiche come il riutilizzo delle password, l'uso di password deboli, la condivisione tramite e-mail o chat o un documento condiviso, la loro scrittura (sia su carta o un file) e continuando a utilizzare le password violate.

62
Schwern

Il posto più sicuro per memorizzare una password non è da nessuna parte. Dovrebbe essere un token sicuro che esiste solo nella memoria del titolare. Sfortunatamente, molti usano una password troppo semplice e insicura, al fine di renderlo più facile da ricordare. Al contrario, password più sicure sono più difficili da ricordare (per la maggior parte delle persone).

Se non puoi fare affidamento sulla tua memoria, dovresti assolutamente utilizzare un gestore di password. I gestori password impediscono anche l'accesso fisico di compromettere le tue password. Un piccolo libro di password fisiche è valido solo come la serratura della tua porta, che è molto meno sicura di una password principale per un gestore di password che è memorizzato solo nella tua memoria.

8
owacoder

Sicuro! Ecco uno schema che non verrà compromesso molto spesso, se eseguito perfettamente [1]:

  1. Tieni un elenco di siti per i quali hai le password. Mettilo in un posto abbastanza sicuro. [2]

  2. Mantieni un elenco di password. Tienilo piegato nel tuo portafoglio. Stai attento a mostrarlo quando apri il tuo portafoglio o quando usi una password da esso. Distruggi le password che hai memorizzato.

  3. Se il tuo portafoglio viene perso o rubato, goditi l'enorme mal di testa di cambiare tutte le tue password.

Quindi, praticamente ciò che fa un gestore di password di base: memorabilità, mappatura dei siti e riservatezza. È solo molto più lavoro delle gambe rispetto all'utilizzo di un gestore di password. Se si commettono errori, diventa molto meno sicuro rispetto all'utilizzo di un gestore di password. Data la fallibilità umana, forse un gestore di password è meglio?

[1]: Il Ding principale contro questo schema è che alla fine non sarai più abituato a farlo, e sarà un gran casino quando devi cambiare le password.

[2]: "Abbastanza sicuro" varia notevolmente a seconda delle tue esigenze. Sei una persona noiosa il cui salvataggio delle credenziali bancarie? Una cassaforte nel seminterrato probabilmente va bene. Ti stai nascondendo dalla NSA? Questo schema probabilmente non è sufficiente, onestamente.

La crittografia nei documenti di Microsoft Office è piuttosto buona e sicura a tutti gli effetti, purché non si apra il documento e non si disponga di un certificato di sicurezza inviato da un amministratore IT.

Offre alcuni punti deboli

https://docs.Microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

In precedenza, se il creatore originale di una password del file dimenticava la password o lasciava l'organizzazione, il file veniva reso irrecuperabile. Utilizzando Office 2016 e una chiave di deposito a garanzia, generata dall'archivio certificati della chiave privata della propria azienda o organizzazione, un amministratore IT può "sbloccare" il file per un utente e quindi lasciare il file senza protezione tramite password o assegnare una nuova password a il file. L'amministratore IT è il detentore della chiave di deposito generata dall'archivio certificati della chiave privata della propria azienda o organizzazione. È possibile inviare silenziosamente le informazioni sulla chiave pubblica ai computer client una volta tramite un'impostazione della chiave del Registro di sistema che è possibile creare manualmente oppure è possibile crearla tramite uno script di Criteri di gruppo. Quando un utente crea successivamente un file Word, Excel o PowerPoint protetto da password, questa chiave pubblica viene inclusa nell'intestazione del file. Successivamente, un professionista IT può utilizzare lo strumento Office DocRecrypt per rimuovere la password allegata al file e, facoltativamente, proteggere il file utilizzando una nuova password. Per fare ciò, il professionista IT deve avere tutto quanto segue:

Il responsabile IT o qualcuno con accesso ai certificati radice può decrittografare tutti i documenti. Quindi, se un utente malintenzionato fosse in grado di ottenere l'accesso a questo, potrebbe decrittografare tutti i documenti protetti da password.

C'è il problema secondario dei file temporanei di Microsoft Office. Nel momento in cui il file viene aperto in Microsoft Office e viene immessa la password corretta, Microsoft Office crea un file temporaneo che visualizza il contenuto. Chiunque stia navigando su questo file può semplicemente selezionarlo e vedere i contenuti nel riquadro di anteprima di Windows Explorer purché qualcuno lo abbia aperto.

Nella maggior parte delle reti Windows è possibile semplicemente navigare sul PC di un collega e guardare i documenti sul proprio PC o su qualsiasi condivisione su cui possano avere tali documenti.

Quindi, di per sé, in apparenza potrebbe sembrare sicuro, ma in basso, qualcuno deve solo infettare una workstation con un programma in attesa che vengano aperti tutti i documenti crittografati a cui ha accesso e quindi leggere semplicemente il contenuto della temp file. E la maggior parte delle persone lascerà quel documento password aperto in background una volta aperto.

La maggior parte dei gestori di password dispone di protezioni per decrittografare solo quando necessario e quindi memorizzare la password per un breve momento negli appunti prima di sovrascriverla, riducendo al minimo la possibile esposizione della password.

In confronto, i gestori di password offrono maggiore sicurezza.

3
Tschallacka

Consiglio ancora vivamente di utilizzare un gestore di password. Se ciò è impossibile e sono vere tutte le seguenti condizioni:

  • Le persone possono scegliere le proprie password.
  • Nessuno deve condividere le password.
    • (I file Excel protetti rendono questo aspetto improbabile.)

... allora potresti suggerire una Password Card da tenere nel loro portafoglio.

Sheneir on annota la tua password :

Jesper Johansson di Microsoft ha esortato le persone a scrivere le loro password.

Questo è un buon consiglio, e lo dico da anni.

Semplicemente, le persone non riescono più a ricordare le password abbastanza buone da difendersi in modo affidabile dagli attacchi del dizionario e sono molto più sicure se scelgono una password troppo complicata da ricordare e poi la scrivono. Siamo tutti bravi a proteggere piccoli pezzi di carta. Consiglio alle persone di scrivere le loro password su un piccolo pezzo di carta e di conservarle con gli altri preziosi piccoli pezzi di carta: nel loro portafoglio.

2
Billal Begueradj

L'unica soluzione è quella di selezionare le password, difficili da infrangere ma facili da ricordare, quindi non è necessario scriverle ovunque!

Ma seriamente, forse puoi chiedere al tuo supporto IT di installare un server di gestione password per l'intera azienda, quindi non è necessario installarne uno sul tuo computer.

1
Paris

Un foglio di calcolo crittografato con una password (diciamo in Excel 2016) utilizzerà " Crittografia documento ECMA-376 " per impostazione predefinita che utilizza la crittografia AES-256 bit. Se la password non è una parola del dizionario, non sarebbe migliore o peggiore di qualsiasi altro gestore di password dal punto di vista del rischio dati.

Il foglio di calcolo sarebbe conforme a FIPS-140-2 e si rispetterebbe la maggior parte delle leggi sulla crittografia se la chiave o l'unità devono essere cancellate con la metodologia di cancellazione sicura come indicato in NIST 800-88.

Per un utente che gestisce alcune password, non vedo un problema a breve termine utilizzando Excel e una password o un problema legale.

Lungo termine , una soluzione di vault password che consente la rotazione di check-in/check-out, come CyberArk o Thycotic sarebbe molto meglio con la registrazione e altre funzionalità. Qualcos'altro da guardare gratis e semplice è Buttercup .

1
opsecwin

Molti raccomandano i gestori di password. Non sono in disaccordo, è davvero un buon consiglio, ma c'è un'altra possibilità.

È abbastanza fattibile consentire loro di registrare informazioni su dove trovare la password senza indebolire in modo significativo l'integrità della password, per la maggior parte dei vettori di attacco. Chiedi a ciascuno di portare un libro personale (pensa: Alice nel Paese delle Meraviglie o qualcosa del genere), che sono tenuti insieme in una singola libreria e rendono ogni password una combinazione di 3-4 parole del libro. È quindi possibile scrivere ovunque ti piace il numero di pagina, il numero di riga e il numero di parole di quelle parole. Sì, la ricerca delle password sarà più lenta ma aumenterà la sicurezza delle tue password contro i tentativi di forza bruta, assicurerà che sia necessario l'accesso fisico all'ufficio, nonché un who's-book-is-che rompa il codice in aggiunta all'accesso elettronico alla loro password "memorizzata". Si tratta di un enorme miglioramento rispetto all'archiviazione delle password in testo semplice in un file sulla workstation, che richiede solo un tentativo di phishing riuscito per funzionare.

Come bonus, le password sono più sicure e più facili da ricordare. Xkcd obbligatorio

Ma, ancora una volta, se non possono essere disturbati a non scrivere le password in un file Excel, può essere una vendita difficile stabilire una procedura ingombrante come questa. YMMV.

0
Stian Yttervik

Concordo con le altre risposte che un gestore di password è più sicuro dei metodi personalizzati. Si noti inoltre che i fogli di calcolo Excel protetti possono essere facilmente compromessi rispetto a un gestore di password.

Detto questo, se hai deciso di non utilizzare un gestore di password, puoi utilizzare il seguente approccio

  1. Hanno due file Excel protetti da password.
  2. Usa password diverse per ogni Excel.
  3. Memorizza l'elenco di nomi utente, servizi, ecc ... in un foglio e assegna un numero/test univoco (ad esempio: A001 per Adobe, S001 per Stack Overflow, ecc ...) per ogni record.
  4. Memorizza il numero univoco e la password corrispondente in un altro Excel.
0
Kolappan N